《SANGFOR_AC&SG_v3.5_WLAN行业版培训》由会员分享,可在线阅读,更多相关《SANGFOR_AC&SG_v3.5_WLAN行业版培训(44页珍藏版)》请在金锄头文库上搜索。
1、 SANGFOR AC/SG_v3.5WLAN行业版培训培训内容培训目的WLAN行业版 培训了解运营商行业WLAN应用场景及组网结构 掌握运营商行业WLAN环境下,客户的核心需求 掌握WLAN行业版设备在运营商WLAN环境下 的部署及配置 掌握运营商行业WLAN环境测试前期需求确认和 环境确认一、WLAN介绍二、WLAN环境下客户需求三、WLAN行业版部署及配置四、WLAN数据中心改动五、WLAN项目测试前期需求确认及环境确认六、注意事项目录一、WLAN介绍1、WLAN简介无线局域网(Wireless Local Area Network,WLAN)是应用无线通信技术将计算机设备互联起来,构成
2、相互通信和实现资源共享的网络体系,其特点是不再使用通信电缆,客户可通过笔记本电脑、PDA等终端以WLAN随时随地接入互联网和企业网,获取信息、娱乐或进行办公。遵循IEEE 802.11标准。支持多媒体功能,上传下载,随时欣赏网上影片或音乐。提供极速而稳定的无线连接。2、WLAN组成2.1、无线终端:WLAN网卡、WLAN手机、平板电脑等2.2、无线接入硬件系统:AP、AC AP:接入点,主要完成无线终端的接入。 AC:接入控制器,对WLAN网络中多台AP进行集中管理和控制。2.3、除上述硬件设备,还会涉及到支撑系统 网管:又区分为OMC网管(只管理自己的AC、AP)和WLAN综合网管 WLAN
3、认证计费系统:有可能单建,也有可能和城域网计费系统合建一、WLAN介绍AP产品AC产品2、WLAN组成(续)一、WLAN介绍3、WLAN应用场景行业公共热点无线网桥宾馆酒店商务楼宇小区接入WLAN的应用场景总体上分为:室分系统、室内放装、室外覆盖(乡村覆盖)一、WLAN介绍3、WLAN应用场景(续)WLAN行业版是针对运营商需求做出的版本,这里主要讨论运营商WLAN应用场景。运营商WLAN主要应用于机场,火车站等公共场所以及学校,酒店等热点区域。无线终端(PC,平板电脑,手机)接入WLAN网络后,通过输入手机号进行认证,认证成功后,即可通过WLAN网络访问互联网,同时运营商WLAN网络有一套认
4、证计费系统,根据终端上网的时长进行计费。一、WLAN介绍一、WLAN介绍4、WLAN组网-运营商WLAN环境常用拓扑图1.AP接入网络中任意网口后, 开始发起DHCP请求获取IP地址。2.AP取得AC地址后,主动发起与AC的认证连接。3.AC对AP进行验证后,与AP建立连接,AP与AC之间成功建立隧道。4.无线终端通过认证后正常访问网络。DHCP SeverInternetAC路由器AP4、WLAN组网(续)一、WLAN介绍二、WLAN环境下客户需求1、记录上网帐号,即手机号。客户希望做到记录用户上网手机号,当用户报障或投诉时,能快速找到该用户在WLAN的上网历史记录和设备整体状况相结合来定位
5、问题。2、AP可视(1)将AP当做组单位来进行流量控制,这样可以依据AP来划分带宽和防止某AP滥用带宽;(2)管理员要清晰各个AP的负载情况,对热点进行扩容或者删减的决策要有数据支撑,关注参数如下,单个AP上的 实时及历史流量、实时及历史流速趋势、 实时及历史用户数量、手机号在哪个AP上接入。3、分析接入终端的类型(手机、PC、平板电脑)、品牌及型号,从终端的角度分析流量构成。三、WLAN行业版部署及配置1、产品部署WLAN行为版可以分别以网桥或旁路方式部署在WLAN网络中,如下图所示:SG 3.5 WLAN行业版设备以网桥方式部署在WLAN AC和AP隧道间三、WLAN行业版部署及配置1、产
6、品部署(续)WLAN行为版可以分别以网桥或旁路方式部署在WLAN网络中,如下图所示:SG 3.5 WLAN行业版设备以旁路方式部署监听WLAN AC和AP隧道间的隧道流信息2、设备配置这里假设客户需求手机号审计,AP可视,终端类型统计三个需求需要同时满足(1)按照旁路模式或网桥模式配置好设备 (2)导入组织结构 WLAN环境中,客户一般都有区域,热点及AP相关表格信息,如下图所示:三、WLAN行业版部署及配置根据客户提供的信息,制作成csv格式文件,通过用户导入方式导入组织结构,如下图所示:导入到设备后效果图如下:(3)添加认证策略(手动添加或导入认证策略)通过添加认证策略,可以将指定AP下的
7、无线终端和对应的AP或热点关联起来,从而可以针对AP进行统计分析并设置相关策略,从而做到AP识别。WLAN行业版添加认证策略,有三种方式: 基 于AP MAC地址添加认证策略 基于APIP地址添加认证策略 基于VLAN ID添加认证策略下面分别对这三种方式一一介绍。三、WLAN行业版部署及配置2、设备配置1)基 于AP MAC地址添加认证策略(目前AP可视的主要方式)基 于AP MAC地址添加认证策略适用于AP和WLAN AC之间是二层环境,可以导入认证策略或手动添加认证策略,下图为导入认证策略列表。导入到设备后效果图如下:注意:WLAN环境下,新用户认证选项一般设置临时帐号,由于WLAN用户
8、不固 定,所以新用户选项设置成临时用户,新用户不加到组织结构。下面是手动建立认证策略:2)基 于APIP地址添加认证策略基 于APIP地址添加认证策略适用于APIP地址是固定的情况,可用于AP和WLAN AC之间是二层或三层环境。可以导入认证策略或手动添加认证策略,下图为导入认证策略列表:下面是手动建立认证策略:这里需要启用 隧道特征识 别3)基 于VLAN ID添加认证策略基 于VLAN ID添加认证策略适用于AP和WLAN AC之间经过802.1Q协议封装。但这种方式,无法做到AP可视,因为真实环境中,并不是每个AP属于一个VLAN,一般是一个热点属于一个VLAN。可以导入认证策略或手动添
9、加认证策略,下图为导入认证策略列表:下面是手动建立认证策略:这里需要启用 隧道特征识 别如果是中兴WLAN AC 和AP,就选择“WLTP VLANID”。(4)启用协议剥离在WLAN环境中,AP和WLAN AC 之间一般都会建立 一条隧道,对数据流进行封装。为了能识别手机号,无线终端类型及无线终端行为,需要启用协议剥离功能。在测试前期 ,我们需要了解AP和AC之间是经过什么隧道协议封装的。在实际环境中,数据包一般都是由VLAN协议和相应的隧道协议封装,因此启用协议剥离时,一般选择VLAN和对应的隧道协议。下面是目前已知的隧道封装协议:H3C AC及AP设备,采用的隧道协议为LWAPP中兴 A
10、C及AP设备,采用的隧道协议为WLTPMOTO 的AC及AP设备,采用的隧道协议 为WISP大唐AC及AP设备,采用的隧道协议 为CAPWAP2、设备配置对于其它厂商采用的其它隧道协议封装的情况,需要将AP和AC之前的数据 流抓包下来分析,通过自定义协议剥离来识别。(4)启用协议剥离(续)根据WLAN AC及AP的厂商,开启对应的协议剥离功能,如下图所示,以H3C为例。2、设备配置(5)启用WEB单点登录WLAN环境中,无线终端上网前,需要通过运营商Portal系统认证。在无线终端进行认证的同时,SANGFOR AC/SG通过WEB单点登录获取终端认证的帐号(即手机号)和终端类型。从而做到手机
11、号识别和终端类型识别。目前,运营商WLAN环境中的portal认证系统分两种,一种是基于http协议的,另一种是基于https协议的。如果是https portal认证系统,目前无法同时做到手机号识别和AP识别,后续可能有定制支持。2、设备配置(5)启用WEB单点登录(续)1)http portal认证注意这里不要选择 。如果不知道认证 成功关键字,可 以填冒号默认可不启用按照常规方法配置WEB单点登录即可,注意事项如下图所示:2、设备配置如果是旁路模式部署,还需要设置镜像网口,如下图所示:(6)建立审计策略和用户组关联审计策略一般需要开启行为审计和流量审计。流量审计是必须要 开启的,开启流量
12、审计才能记录终端类型。根据情况,可选是否 设置流控策略,对AP进行流控。2、设备配置(7)效果图2、设备配置四、数据中心改动WLAN行业版的数据中心是从3.5版本的数据中心升级上来的,主要增加了 WLAN菜单,如下图所示:这些日志和流量审计有关 ,需要开启流量审计功能 ,才能记录终端类型, WLAN流量及用户数等日 志。审计终端具体产生的 行为日志和之前版本一样 的,需要开启审计策略。1、查询某个用户具体行为日志查询某个用户具体行为日志可以在日志查询中输入手机号直接查询,如下图:2、流量查询通过流量查询可以查询在指定时间内,某个区域,热点或AP下的无线 用户产生的流量。下图为营业厅C中的用户在
13、7月份产生的流量。3、流量排行流量排行可以统计在指定时间内,某个区域,热点或AP产生的流量大 小情况。下图为所有营业厅在7月份的流量排行。4、用户数排行用户数排行可以统计在指定时间内,各热点,AP用户分布情况,为分析 AP负载及扩容AP提供依据,下图为所有营业厅7月份用户排行。5、接入终端流量查询接入终端流量查询可以查询在指定时间范围内某种终端类型产生的 流量,下图为7月份samsung手机产生的流量。6、接入终端流量排行接入终端流量排行可以在指定时间范围内统计各无线终端流量分布情况。 如下图:7、接入终端用户数排行接入终端用户数排行,可以统计在指定时间范围内,用户使用无线终 端情况。如下图:
14、五、WLAN项目测试前期需求确认及环境确认有关WLAN项目测试前的需求确认及环境确认请参考附件文档“SANGFOR AC&SG_v3.5 _WLAN行业版测试实施环境确认说明文档”六、注意事项1、WLAN行业版目前支持从AC3.5和SG3.5版本上升级上来,不支持从其它版本升级。2、SG3.5 WLAN实施前,需要通过多功能序列号关闭上网加速功能3、WLAN行业版无独立的外置数据中心安装包,提供一个升级包,支持从AC3.5或SG3.5上升级。4、如果portal认证系统是https形式的,必须给设备配置一个可用的网桥IP地址5、https portal认证系统,无线终端在在进行认证时,会弹出证书告警框,终端选择“是”或“继续浏览”即可。6、如果设备当天由低版本升级至WLAN行业版进行测试,则从第二天开始记录终 端类型,当天不能查询到属于正常情况。特殊情况需要当天能够查询到,请联系深信服厂家。7、https portal认证系统, WLAN行业版无法同时进行手机号识别和AP识别(无隧道协议,单层VLAN除外),后续可能有定制支持。8、https portal认证系统,设备只能以网桥部署,不能以旁路部署,因为旁路模式下不支持ssl内容识别。
